Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 2)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

ShriEkeR (23-08-2010 21:26): MikroTik RouterOS (часть 3)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

   

ShriEkeR



Moderator		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
 
MikroTik RouterOS часть 1
Официальный сайт : http://www.mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
 
 
последняя стабильная версия: v4.11
последняя бета-версия 5.x: 5.0beta6

 
 
 
Официальная документация:
  • http://wiki.mikrotik.com/wiki/Category:Manual
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • для версии 2.8 http://www.mikrotik.com/docs/ros/2.8/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
     
    Обмен опытом пользователей MikroTik RouterOS: http://wiki.mikrotik.com/wiki/Main_Page
     
     
    Обсуждение ROS:
    Раздел форума PCRouter, посвященный MikroTik RouterOS
    Раздел форума DriverMania. Много полезного.
     
    Статьи:
    Краткий FAQ по настройке (первоисточник).
    Объединяем офисы с помощью Mikrotik
    Делим Интернет или QoS на Mikrotik (первоисточник).
    Установка и настройка ABillS + Mikrotik на Gentoo Linux.
    • Всего записей: 6382 | Зарегистр. 27-09-2004 | Отправлено: 14:26 15-09-2009 | Исправлено: Chupaka, 16:09 16-08-2010
    komar90

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Господа хорошие посмотрите п-ста мои логи м.б.кто чего присоветует.
    проблема та же.Рвется соединение пптп микротик-микротик
    Клиент:
    15:22:50 system,info,account user admin logged in from 10.0.0.55 via telnet  
    15:23:36 system,info log rule added by admin  
    15:23:45 pptp,ppp,info pptp-out1: terminating... - keepalives timed out  
    15:23:45 pptp,ppp,info pptp-out1: disconnected  
    15:23:45 pptp,ppp,info pptp-out1: initializing...  
    15:23:45 pptp,ppp,info pptp-out1: dialing...  
    15:24:15 pptp,ppp,info pptp-out1: terminating... - could not connect - timed out
     
    15:24:15 pptp,ppp,info pptp-out1: disconnected  
    15:24:15 pptp,ppp,info pptp-out1: initializing...  
    15:24:15 pptp,ppp,info pptp-out1: dialing...  
    15:24:45 pptp,ppp,info pptp-out1: terminating... - could not connect - timed out
     
    Сервер:
    00:54:39 pptp,info TCP connection established from 10.0.0.20  
    00:54:39 pptp,ppp,info <pptp-0>: waiting for call...  
    00:54:39 pptp,ppp,info <pptp-0>: authenticated  
    00:54:39 pptp,ppp,info <pptp-0>: connected  
    00:54:39 pptp,ppp,info,account admin logged in, 10.0.0.20  
    01:10:14 pptp,ppp,info,account admin logged out, 935 77 13101 7 219  
    01:10:14 pptp,ppp,info <pptp-admin>: terminating... - disconnected  
    01:10:14 pptp,ppp,info <pptp-admin>: disconnected  
    01:10:14 pptp,info TCP connection established from 10.0.0.20  
    01:10:14 pptp,ppp,info <pptp-0>: waiting for call...  
    01:10:14 pptp,ppp,info <pptp-0>: authenticated  
    01:10:14 pptp,ppp,info <pptp-0>: connected  
    01:10:14 pptp,ppp,info,account admin logged in, 10.0.0.20  
    01:11:26 system,info,account user admin logged in from 10.0.0.55 via telnet  
    Всего записей: 5 | Зарегистр. 08-02-2010 | Отправлено: 15:33 17-02-2010
    gooel



    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Скорее всего из-за простоя.
     
    keepalives timed out  
     
    Добавлено:
    komar90
    Всего записей: 70 | Зарегистр. 08-04-2009 | Отправлено: 16:39 17-02-2010
    komar90

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Да вот тоже думал.Но даже если в опциях пптп сервера- keepalives timed out   ставлю 99999 или просто отключаю ее ситуация блин к хорошему не меняется.Ппц пол года назад микротик ставил и делал впн с микра на микр ниче подобного не было.напасть прямо какая то.
    Тут один спец предположил такой вариант:
     на точке доступа должно быть правило разрешающее входящие соединения по протоколу GRE, а на клиенте правило разрешающее исходящие пакеты этого же протокола
     
    Только я не понял немного на 1723 порт чтоли разрешить прием и исход...?
     
    Братцы прошу кто чем может.Намучался блин уже ис ним думаю мож проще будет ужо на фряхе все это поднять.Планировалось просто изначально сделать пптп и мост на нем.Хз просто выйдет ли сие на Freebsd
    Всего записей: 5 | Зарегистр. 08-02-2010 | Отправлено: 16:56 17-02-2010
    gamespb

    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    komar90
    Что бы с гре не связываться используй L2TP
    Всего записей: 254 | Зарегистр. 29-03-2007 | Отправлено: 17:02 17-02-2010
    gooel



    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    PPTP работает, устанавливая обычную PPP сессию с противоположной стороной с помощью протокола GRE. Второе соединение на TCP-порту 1723 используется для инициации и управления GRE-соединением. PPTP сложно перенаправлять за сетевой экран, так как он требует одновременного установления двух сетевых сессий.
     
    Попробуй действительно L2TP
     
    Добавлено:
    Для L2TP необходимо только     
     
    1701/TCP, 1701/UDP
    Всего записей: 70 | Зарегистр. 08-04-2009 | Отправлено: 17:24 17-02-2010
    jamsik

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    свой вопрос снимаю
    таки написал скрипт, после нудного и долгого гугления
    вот - вдруг кому пригодится - работает на микротике 2,9,27
     
    :local resolvedIP [:resolve "Your_DynDns.name"];
    :local ID [/interface pptp-client find name="pptp-out-connection"];
    :local currentIP [/interface pptp-client get $ID connect-to];
    :if ($resolvedIP != $currentIP) do={/interface pptp-client set $ID connect-to=$resolvedIP;}
     
    удачи господа админы )
    Всего записей: 4 | Зарегистр. 27-04-2009 | Отправлено: 19:05 17-02-2010
    Fuji

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    А при большом кол-ве сессий 1000-1500 на микротик, что является предпочтительным для использования с точки стабильности и нагрузки на процессор- pptp или L2TP?
    Всего записей: 59 | Зарегистр. 28-02-2003 | Отправлено: 11:18 18-02-2010
    uraso

    Junior Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Chupaka
    "перенаправлять - раз плюнуть, редирект на прокси и там action=deny redirect-to=URL"  
     
    Это на WEB Proxi ??? Если  можно, раскажите поподробнее как перенаправить вручную должника  на  веб страничку .  Допустим на  ХР уже стоит WEB SERVER...
    Всего записей: 99 | Зарегистр. 27-08-2006 | Отправлено: 10:28 19-02-2010
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    uraso

    Код:
    /ip firewall nat add chain=dstnat src-address=redirected_client protocol=tcp dst-port=80 action=redirect to-ports=my_proxy_port
    /ip proxy access
    add action=deny disabled=no redirect-to=http://my.local.server
    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 13:40 19-02-2010
    gooel



    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подскажите верный способ отделить трафик UA-IX. Есть цель сделать скорость доступа для пользователей в мир, например, 1мбит, а по UA-IX 5мбит.
     
    Спасибо.
     
    Добавлено:
    Список адресов уже нашел.
    http://www.colocall.net/uaix/
     
    Остался технический вопрос, как проще?
    Всего записей: 70 | Зарегистр. 08-04-2009 | Отправлено: 15:49 19-02-2010
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    маркируем пакетики в Mangle Prerouting, направляем в нужную таблицу с дефолтовым маршрутом, например
     
    Добавлено:
    или добавить нужные маршруты в отдельную таблицу, а потом через Routing Rules сначала просматривать её, а потом уже - main
    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 18:31 19-02-2010
    Lexua



    Silver Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Думаю это можно в шапку приколотить - будет весьма полезно http://notme.org.ua/manual-po-nastrojke-mikrotik-na-russkom-yazyke/
    Всего записей: 2844 | Зарегистр. 15-10-2002 | Отправлено: 21:49 19-02-2010
    gooel



    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka
    а можно пожалуйста командами написать, если не затруднит.  
     
    Например подсеть 192.168.1.0/24 входит в UA-IX и её нужно отфильтровать.  
     
    По этому варианту "добавить нужные маршруты в отдельную таблицу, а потом через Routing Rules сначала просматривать её, а потом уже - main"
    Всего записей: 70 | Зарегистр. 08-04-2009 | Отправлено: 00:06 20-02-2010
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    gooel
    /ip route add dst-address=192.168.1.0/24 gateway=gateway routing-mark=ua-ix
    /ip route rule add action=lookup table=ua-ix
     
    возможно, для v3 придётся установить пакет routing-test вместо routing - в последнем немного иной порядок работы с rules, насколько помню
    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 00:45 20-02-2010
    hatny

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Всем доброго времени суток.
    После долгих и нудных ковыряний (MikroTik 2.9.27) обнаружил весьма полезную настройку в разделе NAT.
    Завернул «Пинг» пользователей на роутер, и получил весьма интересную картину – пинги минуя шейпинг стали проходить до 10-ти раз быстрее…
    Плюс ко всему, с клиентского компа перестает работать трассировка маршрута (в моем случае это оказалось полезным)
    Может кто из Вас задумывался над решением такого рода задачи….
     
    ip firewall nat add chain=dstnat dst-address=0.0.0.0/0 protocol=ICMP action=dst-nat to-addresses=x.x.x.x comment="NO TRACERT & GOLD PING" disabled=no
     
    где x.x.x.x - адрес шлюза
    Косяков с этим заворотом мною, пока, не обнаружено…
    Всего записей: 13 | Зарегистр. 04-07-2009 | Отправлено: 03:28 20-02-2010
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    hatny
    если уж действовать нечестно - то по возможности честнее. я бы ещё добавил icmp-options=8:0-255, чтобы редиректить только эхо-запросы. мало ли, что там ещё гулять может
     
    а что значит "перестаёт работать трассировка"?
    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 03:34 20-02-2010
    hatny

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Сразу выдает типа: трассировка завершена, с выдачей конечного адреса
     
    Если добавить поправку, тогда трассировка проходит...
    Всего записей: 13 | Зарегистр. 04-07-2009 | Отправлено: 03:39 20-02-2010 | Исправлено: hatny, 03:42 20-02-2010
    prgold



    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka

    Цитата:
    ip firewall nat add chain=dstnat dst-address=0.0.0.0/0 protocol=ICMP action=dst-nat to-addresses=x.x.x.x comment="NO TRACERT & GOLD PING" disabled=no  

     
    после таких махинаций могут быть "побочные ефекты" ?
     
    прописал просто как выше - может кажетса но начало как буд то скорее страницы листать...
    Всего записей: 8 | Зарегистр. 19-09-2008 | Отправлено: 05:14 20-02-2010
    pjilya

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Поевилась такая проблема!
    под вечер выростает пинг до инета!
    в в фарволе прописал только разрешение на групы и после запрет на всё!
    в макет когда пинга выростает процесор микротика не загружен!
    Что можно ещё зделать?
    Всего записей: 109 | Зарегистр. 21-10-2006 | Отправлено: 11:24 20-02-2010
    AppleNet

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Доброго времени суток. Есть желание слезть с simple queues в пользу queue tree. Но не могу разобраться с парент интерфейсами. Подключение в миру через pppoe, затем NAT, юзеры лезут через pptp. Пробовал все и по-разному - даунлоад шейпится, аплоад - никак.
    Всего записей: 11 | Зарегистр. 07-03-2009 | Отправлено: 16:06 20-02-2010
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 2)
    ShriEkeR (23-08-2010 21:26): MikroTik RouterOS (часть 3)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru